Maardu linna infoturbepoliitika
Vastu võetud 26.05.2020 nr 4
Määrus kehtestatakse kohaliku omavalitsuse korralduse seaduse § 30 lõike 1 punkti 3, isikuandmete kaitse seaduse § 14 punkti 6 ja avaliku teabe seaduse § 43 lõike 1 alusel ja kooskõlas Vabariigi Valitsuse 20. detsembri 2007. a määrusega nr 252 “Infosüsteemide turvameetmete süsteem“.
§ 1. Infoturbepoliitika rakendusala
(1) Maardu linna infoturbepoliitika sätestab Maardu Linnavalitsuse kui ametiasutuse (edaspidi ametiasutus) ja selle hallatavate asutuste (edaspidi koos ka asutus) infoturbe eesmärgid ja nende saavutamise juhised, infoturbe korralduse ning peamiste turvameetmete rakendamise.
(2) Hallatavad asutused ei pea järgima korda osas, mis puudutab otseselt ametiasutuse siseseid toiminguid ja protsesse. Hallatava asutuse sisesed reeglid kehtestab hallatava asutuse juht.
(3) Hallatavad asutused ei pea rakendama infosüsteemide kolmeastmelise etalonturbe metoodikat asutuse infovarale.
(4) Infoturbepoliitikas arvestatakse ning põhimõtete elluviimiseks kavandatakse vastavad tegevused valdkondlikes linna õigusaktides.
(5) Infoturbepoliitika puudutab Maardu linna kui kohaliku omavalitsuse üksuse sisest suhtlust ning suhtlust riigiasutuste, teiste kohaliku omavalitsuse üksuste ja lepingupartneritega.
(6) Infoturbepoliitika hõlmab asutuse personali, infrastruktuuri, andmeid ja dokumentatsiooni, IT-riistvara, tarkvara ja sidesüsteeme.
(7) Infoturbepoliitikat on kohustatud järgima Maardu Linnavalitsuse kui täitevorgani liikmed ja Maardu Linnavolikogu liikmed, ametiasutuse ametnikud ja töötajad (edaspidi koos teenistujad), hallatavate asutuste töötajad, praktikandid ning Maardu Linnavalitsuse ja hallatavate asutuste lepingupartnerid, kes on volitatud töötleja rollis.
§ 2. Mõisted
Infoturbepoliitika kirjeldamisel kasutatakse mõisteid järgmises tähenduses:
1) andmed – mis tahes viisil ja mis tahes infokandjale jäädvustatud või dokumenteeritud informatsioon ja kõikvõimalike IT-vahendite abil edastatav või töödeldav teave;
2) andmekogu – infosüsteemis töödeldavate korrastatud andmete kogum;
3) andmete käideldavus – teabe, IT-süsteemide kasutatavus, õigeaegne kättesaadavus ja kehtivus, inimeste ja protsesside teovõime ja kättesaadavus ajal, mil asutus seda vajab;
4) andmete konfidentsiaalsus – andmete salastatus, nende usalduslik käitlemine ja mitte avalikustamine, informatsioon on kättesaadav vaid volitatud isikutele;
5) andmete terviklus – andmete õigsus, puutumatus ja täielikkus, infovara lubamatute muudatuste puudumine; hõlmab ka info allika autentsust ja salgamatust;
6) varundamine – andmete kopeerimine, mis tähendab nende salvestamist algsest asukohast erinevasse asukohta;
7) andmevarundus - teatud ajahetkel varukoopia loomine varundamisele kuuluvatest andmetest, mis salvestatakse mõnele lisaandmekandjale. Andmevarunduse liigid on:
a) täielik andmevarundus - varukoopia loomine kõigist varundamisele kuuluvatest andmetest;
b) diferentseeritud andmevarundus – varukoopia tegemine ainult sellistest failidest, mis on võrreldes viimase täieliku andmevarundusega muutunud;
c) inkrementaalne andmevarundus – vastupidiselt täielikule andmevarundusele varukoopia tegemine ainult sellistest failidest, mis on võrreldes viimase andmevarundusega muutunud.
8) infosüsteem – andmeid töötlev, salvestav või edastav tehniline süsteem koos tema normaalseks talitluseks vajalike vahendite, ressursside ja protsessidega;
9) infosüsteemide kolmeastmeline etalonturve (edaspidi ISKE) − infoturbe metoodika, mida rakendatakse infovarale ja mis sisaldab juhised ning turvameetmete kataloogi, kuidas korraldada infoturbe haldust, määrata infovarade turbevajadust ja turvameetmeid;
10) infoturbe haldus – protsess, mida kasutatakse infovara konfidentsiaalsuse, tervikluse ja käideldavuse asjakohaste tasemete saavutamiseks ja säilitamiseks. Infoturbe halduse põhifunktsioonide hulka kuuluvad strateegilise infoturbepoliitika (põhimõtete) ja selle rakendamise kava koostamine, infoturbe organisatsiooni loomine, riskihaldus ja infoturbe käigus hoidmine;
11) infoturve ehk andmekaitse – turvameetmete loomise, valimise ja rakendamise protsesside kogum, mis tagab andmete tervikluse, käideldavuse ja konfidentsiaalsuse;
12) infovara – mistahes kujul talletatud andmed ja informatsioon, mis on asutusele väärtuslik ja mida asutus kasutab oma põhimääruses ettenähtud ülesannete täitmiseks ning asutuse omandis olevad infotöötlusvahendid, rakendused ja taristu, mis tagavad asutusele informatsiooni nõuetekohase töötlemise;
13) kasutaja – ametis olev ametnik või töötaja;
14) kasutajatugi – linnavalitsuse IT-spetsialist või võlaõiguslikus lepingus märgitud kontaktisik;
15) krüpteerimine – andmetele kõrvaliste isikute jaoks loetamatu kuju andmine;
16) privaatsus – üksikisiku eraellu või juriidilise isiku ärisaladusse tungimise või tema kohta kogutud andmete kasutamise välistamine väljaspool ametiülesannete täitmist;
17) turvaintsident – sündmus või sündmused, millega kaasneb andmete või muude infovarade käideldavuse, tervikluse või konfidentsiaalsuse kadu või tekib oluline oht andmete käideldavuse, tervikluse või konfidentsiaalsuse kao tekkeks;
18) turvameetmed – organisatoorsed toimingud ja vahendid, tehnilised protsessid ja tehniliste vahendite rakendamine andmete ja infosüsteemide turvalisuse saavutamiseks ja säilitamiseks;
19) vahendid – infrastruktuur (näiteks hooned, ruumid, kaablid, võrguühendus), arvutid (näiteks lauaarvutid, sülearvutid, tahvelarvutid), lisaseadmed (näiteks printerid), andmekandjad (näiteks serverid, mälupulgad, CD-d, DVD-d) jms.
§ 3. Põhimõtted
(1) Infosüsteemide ja infovarade turvalisus tagatakse nende varade käideldavuse, tervikluse ja konfidentsiaalsuse säilitamisel nõutaval või kokkulepitud tasemel.
(2) Käideldavuse, tervikluse ja konfidentsiaalsuse säilitamine nõutaval või kokkulepitud tasemel tagatakse turvameetmete rakendamisega ulatuses, mis tagab ohtude realiseerumisel Maardu linna kui kohaliku omavalitsuse üksuse ülesannete tavapärase ja katkestusteta täitmise.
(3) Turvameetmed jagunevad organisatsioonilisteks, füüsilisteks ja infotehnilisteks. Turvameetmed peavad olema majanduslikult õigustatud ning nende negatiivne mõju asutuse tegevusele ja teenistujate tööle peab olema tasakaalus meetmete rakendamata jätmisel tekkida võiva kahjuga.
(4) Turvameetmete pideva asjakohasuse tagamiseks on vajalik turvameetmete hooldus, regulatsioonide perioodilised läbivaatused, töökeskkonna igapäevane seire, infoturbe perioodiline vastavusekontroll, muudatustele reageerimine ja infoturbeintsidentide käsitlus.
(5) Kõiki infosüsteemi muudatusi tuleb kasutajatoel enne nende läbiviimist kaaluda infoturbe seisukohast. Muutunud nõuete või uute ohtude korral tuleb turvameetmed ümber hinnata.
(6) Infoturbealast tegevust koordineerib linnavalitsuse e-teenuste arendusjuht, kes muuhulgas peab arvestust ISKE turvameetmete kataloogi meetmete üle, otsustab nende valiku üle, ajakohastab neid versiooni uuendustest ja muudatustest ning linna infosüsteemidele ja infovaradele määratud turvaklassidest lähtudes ja esitab ametiasutusele rakendamiseks neile kohalduvad meetmed ning annab asutustele juhiseid infoturbepoliitika elluviimiseks.
(7) Organisatsiooniliste ja füüsiliste turvameetmete rakendamise linna asutustes korraldab e-teenuste arendusjuht ning vajaduse korral koostöös linna teiste teenistuste ja struktuuriüksustega. Nimetatud turvameetmete rakendamise eest vastutab ametiasutuse juht.
§ 4. Eesmärgid
(1) Infoturbe põhimõtete eesmärgiks on kehtestada üldised suunised infovarade kaitsmiseks rünnete ja ohtude eest. Suuniste alusel koostatakse infoturvet reguleerivad eeskirjad, korrad, juhendmaterjalid ja muud asutuste infoturvet reguleerivad dokumendid.
(2) Infoturbe eesmärgiks on:
1) tagada talituse jätkuvus;
2) kaitsta andmeid ohtude eest;
3) tagada andmete väärtuste ja omaduste säilimine;
4) minimeerida talitusriski;
5) tagada vastavus õigusaktidele;
6) maksimeerida investeeringute tasuvust;
7) säilitada asutuse kuvand.
(3) Infoturbe tähtsus tuleneb andmete tähendusest ja väärtusest. Andmete tähendus ja väärtus määratakse ISKE metoodika alusel.
§ 5. Turvariskide hindamise mõisted
Turvariskide hindamisel kasutatakse mõisteid järgmises tähenduses:
1) oht - olukord, mis võib kahjustada infovarasid ning võib peituda infrastruktuuris, tehnoloogias, inimeste turbeteadlikkuses või asutuse töökorralduses. Ohuallikaks võivad olla:
a) puudused infrastruktuuris – ebapiisav kaitse füüsiliste ohtude eest (näiteks kuum, külm, elektrikatkestus) või turbe füüsiliste meetmete osaline rakendamine;
b) puudused infotehnoloogias – süsteemide või seadmete tõrked (näiteks serveririke või võrguühenduse katkestus), seadmete paigutus, süsteemide jõudlus või ülepingutatud turvameetmed;
c) puudused inimeste töös − vead, mida inimesed teevad turvanõuete järgimisel (näiteks antakse edasi ligipääsuõigusi või taotletakse tarbetuid ligipääsuõigusi, ei järgita töö- ja eraasjade lahususe põhimõtet);
d) puudused töökorralduses – juhtumid, kus järgitakse turvanõuete täitmise reegleid puudulikult või ei täideta neid, kasutusjuhendid või süsteemikirjeldused on ebaselged või puuduvad, süsteemile juurdepääsu reguleerimise vahend ehk parool on nõrk või ebapiisav või arvutisse on paigaldatud volitamata tarkvara;
e) turvaründed;
2) nõrkus – infovara omadus, mis laseb ohul realiseeruda;
3) risk – tõenäosus, et oht kasutab ära nõrkuse ja tekitab infovarale kahju;
4) jääkrisk – risk, mida on mõistlik aktsepteerida;
5) turvaintsident – mistahes kõrvalekalle infosüsteemi normaalse talitluse reeglitest.
§ 6. Turvariskide vältimise meetod
Riskide minimeerimiseks vastuvõetavale tasemele võetakse asutuses kasutusele järgmised meetmed:
1) füüsilised meetmed ruumidele (näiteks uste, akende, seinte ja lukkudega seotud abinõud);
2) organisatsioonilised meetmed teenistujatele (näiteks protseduurireeglid, korrad ja eeskirjad turvanõuete täitmiseks);
3) infotehnoloogilised meetmed infosüsteemidele ja andmekogudele (näiteks ligipääsuõiguste andmise ja kasutamisega, viirusetõrjega, krüpteerimisega, varukoopiate tegemise ja ID-kaardi kasutamisega seotud abinõud).
§ 7. Riskihaldus
(1) Asutuste infovarade riskihaldus põhineb ISKE-l. Selle alusel määratakse turvameetmed, mida tuleb rakendada infovaradele ettenähtud turvataseme saavutamiseks ja säilitamiseks.
(2) Kui mõnda turvameedet ei ole võimalik või otstarbekas rakendada, peab leidma alternatiivse meetme riski vähendamiseks või peab kinnitama meetme täitmata jätmisega tekkinud jääkriski aktsepteerimise.
(3) Kui infovara omanik või valdaja leiab, et ISKE-põhisest riskianalüüsist ei piisa, koostatakse lisaks detailne riskianalüüs, kus vaadatakse eraldi igat infovarale mõjuvat ohtu, hinnatakse ohu realiseerumise tõenäosust, selgitatakse välja suuremad riskid ja võetakse vajaduse korral kasutusele spetsiifilised meetmed nende vähendamiseks.
§ 8. Turvaintsidentide haldus
(1) Turvaintsidendist või selle ohust peab teenistuja koheselt teavitama ametiasutuse e-teenuste arendusjuhi, andmekaitsespetsialisti ja IT-spetsialisti.
(2) Kui turvaintsidendi lahendamise käigus avastatakse süüteo, distsiplinaarsüüteo või töölepingu rikkumise tunnuseid, antakse juhtum edasi menetlemiseks asjaomase õigusega asutusele või isikule.
(3) Turvaintsidentide haldus sätestatakse turvaintsidendi käsitlemise korras.
(4) Sündmus, millega kaasneb andmete või muude infovarade käideldavuse, terviklikkuse või konfidentsiaalsuse kadu või tekib oht nende kadumiseks, siis tuleb lisaks asjassepuutuvate isikute turvaintsidendist teavitamise nõuetele sellest teavitada ka Eesti riigi rahvuslikku CERT'i vastavalt Riigi Infosüsteemi Ameti (RIA) poolt antud juhistele.
(5) Kontakteerumine ja teabe edastamine CERT-EE-le on infoturbejuhi, IT juhi või muu infoturbe eest vastutava töötaja kohustus.
§ 9. Infovarade ligipääsu reguleerimine
(1) Ligipääs infovaradele tagatakse volitatud kasutajatele autoriseerimismeetoditega.
(2) Pääsuõiguste jagamisel lähtutakse ametialase teadmisvajaduse põhimõttest. Pääsuõigused taotleb vahetu juht ja kinnitab pädev töötaja (IT-spetsialist ja/või e-teenuste arendusjuht).
(3) Pääsuõiguste taotlemisel ja seadistamisel lähtutakse võimalusel kohustuste lahususe printsiibist, kus pääsuõiguste taotleja ei saa olla pääsuõiguste seadistaja. Taotletud, kinnitatud ning seadistatud pääsuõigused dokumenteeritakse.
(4) Pääsuõiguste jagajad võtavad kasutusele protseduurid, reeglid või muud mehhanismid, mis tagavad pääsuõiguste tühistamise, kui teenistuja kaotab usalduse või tema töösuhe lõpeb.
(5) Infovarade kasutajad tuvastatakse, kasutades asjakohaseid autentimismehhanisme. Uute infosüsteemide projekteerimisel eelistatakse Eesti ID-kaardi põhist autentimist.
(6) Reeglid, mille järgi valitakse salasõna, selle kehtivus ja muud parameetrid, on kehtestatud linnapea käskkirjaga arvuti kasutamise eeskirjad.
(7) Andmete töötlemiseks asutustes kasutatakse vaid asutuse kinnitatud riist- ja tarkvarastandardile vastavaid infotehnoloogilisi vahendeid. Asutuse sisevõrku ei tohi ühendada asutusele mittekuuluvaid seadmeid.
§ 10. Krüpteerimine ja sõnumiautentimine
(1) Asutusesiseseks kasutamiseks mõeldud teabe edastamisel välisvõrkude vahendusel peab see olema krüpteeritud.
(2) Välisvõrkude vahendusel edastatud teabe sisestamisel andmekogudesse kasutatakse sõnumiautentimise meetodeid.
(3) Krüpteerimise ja sõnumiautentimise detailid sätestatakse infosüsteemide juhendmaterjalides. Nende puudumisel kasutatakse ID-kaardil põhinevat krüpteerimist ja ID-kaardi digitaalallkirjal põhinevat sõnumiautentimist.
§ 11. Kaugtöö
(1) Kaugtöö kommunikatsioon krüpteeritakse. Kasutaja autentimine kaugtöö korral põhineb tugevatel krüptograafilistel algoritmidel.
(2) Kaugtöö autentimiseks on keelatud edastada krüpteerimata salasõnu.
§ 12. Viirusetõrje
Kõikidele infosüsteemidele ja edastatavatele andmetele rakendatakse viirusetõrjet. Kasutatakse kõige viimast viirusetõrje versiooni, mida uuendatakse automaatselt (mitte harvemini kui iga kuue kuu tagant). Arvutiviiruste tõkestamise eest vastutav töötaja peab regulaarselt uurima uute viirusetõrje versioonide väljastamist.
§ 13. Infosüsteemide kasutusele võtmine ja muudatused
(1) Uued infosüsteemid või olemasolevate infosüsteemide olulised muudatused testitakse enne kasutusele võtmist. Testid peavad sisaldama infoturbe regressiooniteste.
(2) Enne uute infosüsteemide kasutusele võtmist rakendatakse neile vajalikud turvameetmed.
(3) Kõiki infosüsteemi muudatusi tuleb enne nende tegemist kaaluda infoturbe seisukohast. Turvameetmed tuleb viia vastavusse muutunud nõuete või uute ohtudega.
§ 14. Varundamine
(1) Nii andmekogudes sisalduvad kui ka muud esmatähtsad andmed varundatakse regulaarselt, et oleksid tagatud seadustest ning tööprotsessidest tulenevad käideldavuse ja tervikluse nõuded. Varundatud andmete taastamist testitakse regulaarselt.
(2) Andmekogude varundusnõuded kehtestatakse igale andmekogule eraldi asutuse juhi poolt. Muude andmete varundusnõuded kehtestab samuti asutuse juht.
(3) Hävitatavad andmed kustutatakse turvaliselt sellisel viisil, mis välistab nende taastamise.
(4) Varundatud andmete hoidmisel rakendatakse ISKE turvameetmeid, lähtudes varundatud andmete maksimaalsest turvaklassist.
§ 15. Turvastandardid ja ISKE
(1) Andmekogudega seotud asjakohaste turvameetmete määramisel lähtutakse ISKE rakendusjuhendis toodud metoodikast ning ohtude ja turvameetmete kataloogist.
(2) Vajadusel rakendatakse lisaks etalonturvameetmetele ka muid turvameetmeid, mis tagavad infovarade käideldavuse, tervikluse ja konfidentsiaalsuse nõutaval tasemel.
(3) Andmekogudega seotud turvameetmete rakendamisel järgitakse auditeeritavuse printsiipi. Rakendatavad turvameetmed peavad olema põhjendatud ja dokumenteeritud ISKE meetmete tabeli järgi selliselt, et hiljem oleks võimalik hinnata nende vajalikkust ning asjakohasust.
(4) ISKE rakendusjuhendi ja teiste juhendmaterjalide tõlgendamisel lähtutakse mõistlikkuse printsiibist ja arvestatakse infoturbe üldist eesmärki.
(5) Dokumenteerida tuleb nii ISKE rakendusjuhendi tõlgendused kui ka põhjendused, kui ISKE turvameetmete kataloogis sätestatud turvameetmeid ei ole rakendatud.
§ 16. Füüsiline turve
(1) Ligipääs ruumidele tagatakse töövajaduse ja vastutuse alusel. Võtmete arvu ja jagamise kohta peetakse kirjalikku arvestust.
(2) Töövälisel ajal valvatakse hooneid ja ruume elektrooniliselt. Esmatähtsad ruumid on ka tööajal lukustatud.
(3) Füüsilise turbe üksikasjalikud juhised määratakse asutuse sisekorraeeskirja ja/või muude asjakohaste dokumentidega.
§ 17. Konfidentsiaalsuskohustus
(1) Konfidentsiaalsuskohustus kehtib konfidentsiaalse teabe kohta ega sõltu isiku ametikohast ja töötegemise asukohast. Konfidentsiaalsuskohustus kohaldub ka neile teenistujatele ja praktikantidele, kellel puuduvad otsesed infovara kasutamise volitused.
(2) Kui töötaja või praktikant tegutseb lepingu alusel, peab leping sisaldama konfidentsiaalsuskohustuse sätteid.
(3) Kui lepingulisi kohustusi täidab teine organisatsioon või asutus (kolmas osapool), peab asutuse ja kolmanda poole vahel sõlmitud leping sisaldama konfidentsiaalsuskohustuse sätteid. Pooled allkirjastavad lepingu enne, kui lepingu täitjale võimaldatakse juurdepääs infovarale.
§ 18. Teenistujad
(1) Teenistuja infoturbega seotud õigused, kohustused ja vastutus määratakse ametijuhendis, infoturbe juhendites ja/või muudes asjakohastes eeskirjades ja/või kordades.
(2) Enne teenistuja tööle asumist tutvustatakse talle asutuse infoturbe põhimõtteid ja -reegleid. Reeglitega tutvumise ja nendest arusaamise kohta annab teenistuja allkirja.
(3) Teenistujaid teavitatakse nende töövaldkonda puudutavatest infoturbe meetodite muutustest ja turvaintsidentidest viivitamatult.
(4) Infoturbe tagamiseks organisatsioonis korraldatakse teenistujatele regulaarselt turvateadlikkuse koolitusi. Infoturbe eest vastutava(te)le isiku(te)le võimaldatakse erialaseid täienduskoolitusi.
(5) Teenistussuhte lõppemisel tagastab teenistuja viimasel tööpäeval tööandjale kõik varad ja pääsuvahendid, mis olid tema valduses. Teenistuja ligipääsuõigused infosüsteemidele tühistatakse.
§ 19. Andmete ja dokumentide turve
(1) Andmeid töödeldakse kehtivate õigusaktide kohaselt.
(2) Kõigile andmetele määratakse omanik.
(3) Andmete tehnohaldamist ja administreerimist infotehnoloogiliste vahenditega korraldab andmete omaniku volitatud isik (teenuse pakkuja) turvanõuete kohaselt.
(4) Asutustevaheline dokumentide ja andmekandjate üleandmine ja vastuvõtmine dokumenteeritakse.
§ 20. Infoturbe põhimõtetele tuginevate õigusaktide kehtestamise õigus
Vajadusel võib infoturbe põhimõtete rakendamiseks vajalikke nõudeid ja meetmeid kehtestada asutuse töökorralduse reeglite või asutuse juhi käskkirjaga. Nõuded ja meetmed peavad tuginema infoturbe põhimõtetele ja olema kooskõlas õigusaktidega.
§ 21. Infoturbepoliitika muutmine
(1) Infoturbepoliitika vaadatakse üle vajaduse korral, kuid vähemalt kord kahe aasta jooksul.
(2) Infoturbepoliitikat muudetakse kui:
1) seda nõuavad auditi tulemused;
2) muudatuse vajadus tuleneb ISKE versioonist;
3) muudatuste vajaduse tingivad olulised tehnilised, organisatsioonilised või õiguslikud muutused või muud sisemised või välised asjaolud.
§ 22. Määruse jõustumine
Määrus jõustub kolmandal päeval pärast Riigi Teatajas avaldamist.
Vladimir Arhipov
Linnapea
Neeme Sild
Õigusnõunik linnasekretäri ülesannetes
Facebook
X.com